我的网络管理员能否知道我正在使用虚拟路由器在未经授权的设备上访问互联网？

Question

我的网络管理员能否知道我正在使用虚拟路由器在未经授权的设备上访问互联网？

我是一名大学生，我所在大学的网络管理员使用 MAC 地址（1 个 MAC 地址/学生）来授权访问互联网。学生们经常使用虚拟路由软件创建一个热点来连接到他们的其他设备（MAC 欺骗是一种可能的解决方法，但在手持设备上进行欺骗，例如 Android 设备，需要 root 访问权限，这本身就很难获得）。

最近，管理员重新引导所有学生不要使用热点，否则他会惩罚那些不遵守的人（通过从授权的 MACs 数据库中删除学生的 MAC 地址，我想）。我有一种强烈的感觉，他只是在虚张声势。

我的疑问是，管理员是否有可能知道某个设备正在使用虚拟路由连接到其他未经授权的设备？

注：我尝试在网上搜索资源，例如虚拟路由器网络究竟如何，但找不到任何实质性信息。即使有人可以向我指出一些对我有用的资源，我也会很感激。

Answer 1

小智 41

是的，可以使用无线入侵防御系统识别您对无线热点的使用。

WIPS 的主要目的是防止无线设备对局域网和其他信息资产进行未经授权的网络访问。这些系统通常作为对现有无线 LAN 基础设施的覆盖来实施，尽管它们可以独立部署以在组织内实施无无线策略。一些先进的无线基础设施集成了 WIPS 功能。

他们不会通过 MAC 地址知道，但将能够找到未经授权的 wifi 点。在我的上一份工作中，我们得到了所有 wifi 点的地图，授权和非授权，通常准确到一个房间。我们没有限制人们只能使用一个 MAC 地址，这太有限了，我们只是不想要流氓 wifi 点。如果我们试图限制他们，学生会向住房、院长、行政部门和任何人投诉。我们发现普通学生在宿舍的 wifi 上有 3-5 台设备，非宿舍有 2 台。（手机、平板电脑、笔记本电脑、Xbox、游戏机等） (17认同)
根据您要使用的其他设备，解决方案可能只是将合法连接从您的机器桥接到一根或多根网络电缆并插入这些电缆。如果没有对房间进行物理检查，就不会发现这些。 (7认同)
WIPS 是检测无线电范围内的任何接入点。无法访问网络（或任何网络）的 AP 也会被检测到，并使管理员发疯。 (3认同)
检测连接共享的一种简单方法是检查源自设备的 IP 数据包中的 TTL 值。有各种操作系统和设备的默认 TTL 值列表。如果系统检测到 TTL 为（默认为 1，例如，当 128 出现在默认列表中时为 127，而 127 未出现），则可以非常确定数据包来自共享连接上的设备。一些 3G 移动供应商也使用这种技巧。 (2认同)
@xmp125a 他可以让他的计算机对所有传出数据包设置相同的 TTL，例如使用 iptables。 (2认同)

Answer 2

dir*_*rkt 38

除了通过 WLAN 流量（“warwalking”？）在物理上跑来跑去和检测热点之外，或者可能使用现有的路由器进行检测，流量模式也可能是一个赠品 - 您的热点具有与您的设备不同的签名。

与其对抗您的系统管理员（这是双方的 PITA），不如与他交谈。我不知道为什么他们有“每个学生一个 MAC”的规则，也许他们可以放松一点？说，“每个学生两个或三个 MAC”。管理起来没有更多的麻烦。

我不知道在你的大学里学生代表的政治方面是如何运作的，但学生们通常可以以某种方式表达他们的兴趣。是的，这比设置热点要慢，但也更有效。

@grawity 更好的是，他们可以成为 [eduroam](https://www.eduroam.org/) 之类的东西的一部分，这样他们就有了一个密码登录，也适用于世界各地的其他大学。 (17认同)
现有的接入点 [不是路由器] 实际上具有这样的检测功能——尤其是那些带有中央控制器的接入点，如 UniFi，显示在建筑物任何地方检测到的所有“流氓”接入点的列表。 (3认同)
至于多个MAC，也许他们只是不想做额外的工作（必须将每个学生的MAC地址添加到路由器的白名单中肯定很烦人）。也许最终他们会发现他们可以改为使用密码登录。 (3认同)

Answer 3

小智 20

我曾经是一所大学的网络管理员助理。这听起来像是代际差异问题，或者学校的网络无法为每个学生、教职员工等处理超过 1 个设备。可能每个学生拥有的设备数量超过政策允许的数量。

简短的回答是，他们可以检测到未经授权的访问。不，不要这样做。我经常因网络违规（文件共享、非法软件、病毒、计算机实验室中的色情内容等）而取消访问权限。其中许多学生不得不离开学校，因为没有电脑上的大学是相当困难的。学生们使网络面临风险。如果某人的未经授权的设备通过了一种病毒来清除您的博士研究和论文怎么办？如果您现在认为这是一个笑话，请在工作中尝试一下，看看会发生什么。

与网络管理员、学生会、行政部门等合作，为不需要在学校网络和/或公共区域（如大多数咖啡店的免费 wifi）的“您的其他设备”获得额外的无线访问）。这可以防止“实际”学校网络的负载，并且仍然为您提供所需的互联网访问权限。

*如果某人的未经授权的设备通过了一种病毒来清除您的博士研究和论文怎么办？* 如果经过授权的设备做了同样的事情怎么办？如果有的话，未经授权的移动设备对网络的风险可能比经授权的计算机要低，因为它们通常不太容易受到病毒/恶意软件的影响。 (21认同)
大学本质上是一个ISP。只需将网络视为“敌对”或“不安全”即可。切勿将“安全”网络内容与任何学生、教职员工或员工系统混在一起。这是一个 BYOD(s) 世界在学校和工作中。 (20认同)
这听起来更像是通过提供故意瘫痪的 ISP 服务来将责任推给学生。 (16认同)
如果某人的未经授权的设备通过了一种病毒来清除您的博士研究和论文怎么办？<<< 所以如果是授权电脑就可以了？限制 MAC 地址对此有何影响？如果网络容易受到攻击，那是管理员的责任。如果公司有 BYOD 政策，他们（应该）拥有管理受感染设备等的基础设施。为不安全的设备创建安全网络并不是一项困难（或昂贵）的任务。- 以此来冒着别人的论文的风险，这纯粹是无能的。 (11认同)
每个星巴克似乎都能够管理允许任何设备连接到网络所带来的任何“风险”，而大学不能吗？ (10认同)
_“如果您现在认为这是一个笑话，请在工作中尝试一下，看看会发生什么。”_ 这么多。学生们花了很多精力试图绕过这些规则，却很少努力去理解它们并试图习惯它们。然后他们进入工业界，当他们发现工作世界的运作方式时感到惊讶。好吧，震惊恐怖，我们确实试图训练你......但是，孩子们，你不感兴趣。 (7认同)
@LightnessRacesinOrbit 在现实世界中，体面的公司没有太多的任意规则可以解决 (2认同)

Answer 4

Jam*_*ell 7

我可以想到一些方法来检测网络中的这种行为。当他们真正应该做的是通过端口而不是 mac 限制连接时，这种限制并不是一个很好的限制，但这是他们的网络和他们的规则，即使如果您要欺骗其他人，它确实会创建一种简单的（有针对性的）拒绝服务攻击MAC地址。

以https://networkengineering.stackexchange.com/questions/123/how-do-you-prevent-rogue-wireless-access-points-on-a-network作为起点，似乎很明显，任何体面的无线基础设施都会能够检测流氓热点（即使是 dd-wrt 盒也可以进行无线调查以查看周围还有什么。）

由于管理员控制流量，因此也可以使用 Snort 之类的 IDS 工具，如果管理员热衷于寻找不合规的人，它会很快放弃。一些协议甚至不隐藏它们通过 NAT 运行（RFC7239具有 http 标头，例如X-Forwarded-For专门供 Web 代理使用。） RFC2821建议 SMTP 客户端发送可选标识符，尽管它不是强制性的。

您真正可以隐藏类似内容的唯一方法是让连接到其网络的设备将所有内容发送到 VPN 或系统（如 TOR），这本身会引起您的注意。

虽然情况并不完全相同，因为它们似乎没有相同的限制，但剑桥大学的安全团队确实不赞成在其网络中使用 NAT，如防火墙和网络地址转换策略中所见，并提供了一些有关其推理的背景.

TL;DR - 如果您想使用更多设备，那么您需要通过系统和学生代表来解决您面临的问题，因为如果您的管理员想抓住您，那么他们会。

Answer 5

小智 5

我的网络使用的系统在整个建筑物中都有探测器，如果出现流氓 SSID，它实际上会三角测量设备的位置。该系统并不便宜，但天哪，如果您将手动管理 MAC 地址所花费的时间加起来，从长远来看，它可能更具成本效益；那一定是一场行政噩梦。在锁定系统的所有方法中，我真的想不出更糟糕的方法。

正如其他人所说，与管理员合作，不要试图打败他们。使用当今可用的技术，您甚至不需要优秀的网络管理员来抓住您。尝试更改策略，查看是否允许例外等。最终您会过得更好。

归档时间：	9 年，5 月前
查看次数：	13160 次
最近记录：	9 年，4 月前